2010年代初頭、オープンソースソフトウェア(OSS)は大きな期待を集めていたが、調達部門は依然として、信頼性、長期的なサポート、およびセキュリティについて正当な懸念を抱いていた。
しかし、今日では状況は一変しました。オープンソースのプラットフォームには、プロプライエタリな代替製品と同等のサービスレベルとコンプライアンスを提供するエンタープライズ版が登場しています。実際、プロプライエタリなソフトウェアに料金を支払ったとしても、 そのシステムを構成するコードの はオープンソースのコンポーネントで構成されています。
Linux Foundationの 『調達担当者向けオープンソースソフトウェアガイド』 でさらに詳しく説明されているように、重要なのはOSSを採用すべきかどうかではなく、オープンソースコードをどのように選定し、維持し、ライセンスを管理するかという点です。本記事では、2010年代初頭にはOSSに不利に働いていた経験則が、もはや通用しなくなった理由について解説します。
重要なポイント
- オープンソースソフトウェアは、プロプライエタリな代替製品と同等のセキュリティ、コンプライアンス、およびスケーラビリティの要件を満たすことができ、多くの場合、より高い透明性を提供します。
- 商用サポートモデル、体系化されたサービスレベル契約(SLA)、およびエンタープライズ向けホスティングオプションは、エンタープライズ向けオープンソースソリューションにおいて一般的です。
- ライセンス料、ベンダーロックイン、長期的な柔軟性を考慮すると、オープンソースの方が総所有コストが低くなる傾向があります。
- 現代のエンタープライズ向けオープンソース・プラットフォームは、コミュニティ主導のイノベーションの利点と、エンタープライズレベルの責任体制を両立させています。
オープンソースに関する通説の誤り
多くの調達方針では、依然としてOSSを本質的にリスクの高いものと見なしていますが、実際にはそうではありません。以下では、調達担当者が抱く4つの主な懸念事項――セキュリティ、スケーラビリティ、総所有コスト(TCO)、長期的なサポート――の背景にある前提を分析し、オープンソース・プラットフォームが多くの場合、プロプライエタリなプラットフォームよりも優れたパフォーマンスを発揮することを示します。
セキュリティ
前提:オープンソースはコードが公開されているため、悪意のある攻撃者が脆弱性を見つけやすくなり、本質的にセキュリティが低い。
現代の現実:コードの透明性は欠点ではありません。むしろ、それは強みです。オープンソースプロジェクトは透明性が高く、世界中の多くの開発者がコードをレビューすることができます。この継続的なピアレビューにより、ベンダーのチームだけがコードにアクセスできるクローズドソースのソフトウェアよりも、脆弱性を迅速に特定し、修正することが可能になります。
多くのエンジニアがコミュニティの理念への個人的な信念からオープンソースコードに貢献している一方で、自社の評判を築きたいと考えるサイバーセキュリティ企業も、オープンソースコードに脆弱性がないか定期的に検証を行っています。つまり、オープンソースコードの強靭さは、単なる善意だけに依存しているのではなく、営利組織におけるイノベーションを推進するのと同じような動機付けにも支えられているのです。
その結果、オープンソースコードを基盤とする評価プラットフォームに、重要なデータが委ねられることになっています。例えば、TAOのオープンソースソリューションは、 リトアニア教育省 や ニューヨーク市教育局をはじめ、デジタルトランスフォーメーションの概念実証(POC)として任意の試験やパイロットプログラムを実施している世界各国の省庁でも採用されています。これらの導入事例は、規制の厳しい教育環境においても、オープンソースプラットフォームがセキュリティに関する実世界の要件を満たし得ることを示しています。
拡張性
前提として: オープンソースのツールは小規模なプロジェクトには適しているが、複雑でミッションクリティカルなシステムにおける大規模な利用には対応できない。
現代の実情: 今日、オンラインで利用されているインフラの多くは、オープンソースコードで動作しています。例えば、 Linux はパブリッククラウドインフラの大部分を支えており、 OpenSSL はウェブトラフィックの大部分を暗号化し、様々なオープンソースデータベースが毎日数十億件のトランザクションを処理しています。「実験的」などという段階をはるかに超え、オープンソースコードは政府機関、金融機関、そしてフォーチュン100企業のまさに中核を成しています。
政府機関もこれを認めている。例えば、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、 連邦政府全体でOSSを積極的に推進しており、「オープンソースソフトウェアは、私たち全員が依存しているデジタルインフラの基盤の一部である」と記している。
規制された評価の分野では、オープンプラットフォームがすでに大規模かつ重要な試験プログラムを支えています。例えばイタリアでは、全国統一試験が 数百万人の生徒を対象に実施されており 実施されています。
このレベルでは、通常、管理されたインフラストラクチャ、専任のサポート、そして継続的な最適化によってスケールを実現します。多くの組織は、この複雑さに対処し、運用リスクを低減するためにエンタープライズ向けソリューションに投資しています。特に、信頼性が極めて重要となるリスクの高い環境ではその傾向が顕著です。一方、内部の体制に応じて、小規模な導入や時間的制約の少ない導入では、同じオープンソース基盤を活用する組織もあります。
ここから重要な点が浮かび上がります。オープンソースは、実績があり拡張性のある基盤を提供する一方で、組織は自社のリスク許容度、内部の能力、および規模の要件に基づいて、それをどのように運用するかを自由に選択できるのです。
総所有コスト
前提として: オープンソースは「初期費用は安いが、後々コストがかかる」ものである。なぜなら、初期費用の節約分は、統合、カスタマイズ、および保守にかかる隠れたコストによって相殺されてしまうからである。
現代の現実: オープンソースであれプロプライエタリであれ、ソフトウェアを導入するたびに、統合や保守にかかるコストを支払わなければなりません。違いは、それらのコストがどのように構成されているか、そして誰がそれを決定するかという点にあります。
プロプライエタリなプラットフォームでは、ライセンス料に加え、カスタマイズ権限が制限され、移行時には違約金が発生します。さらに、多くの場合、毎年料金が値上げされる条項も設けられています。一方、オープンソースではライセンス料が完全に不要となります。その代わり、導入、サポート、インフラへの投資を自らの判断で行える、より透明性の高いコストモデルが実現します。
実際には、現代のオープンソースソフトウェアプロバイダーは、ベンダーロックインを回避しつつ、商用サポート契約、マネージドホスティング、プロフェッショナルサービスを備えたエンタープライズレベルのパッケージも提供しています。これにより、組織は他の技術投資と同様の枠組みを用いてコストを評価することが可能になります。
長期的な支援と説明責任
前提:オープンソースソフトウェアに問題が発生した場合、自分で対処しなければならない。
現代の実情: オープンソースには独自のサポートモデルがありますが、だからといって完全に自力で対応しなければならないわけではありません。 TAOのようなプラットフォームを利用すれば、組織はホスティングや運用を含むデプロイメントの責任を自ら負うことになるため、環境を完全に制御できます。これがプロプライエタリなソフトウェアとの大きな違いです。
一方で、利用可能なリソースがないわけではありません。ユーザーは、活発なコミュニティフォーラム、ユーザーマニュアル、チュートリアル動画、そして他の実践者から共有される専門知識を活用することができます。さらに詳しいガイダンスが必要な組織向けに、TAOでは有料トレーニングやSLAに基づくサポートパッケージも提供しており、製品に関する専門知識や明確な対応時間を保証しています。
このモデルは、社内に技術的なノウハウを持つ、あるいは信頼できるITパートナーを抱えているチームに最適です。エンドツーエンドの管理をベンダーに依存するのではなく、組織自身がプラットフォームの運用やサポート方法を主導します。
エンタープライズ・サービスが両方の長所を兼ね備えている理由
同じオープンソースの基盤を活用する商用評価プラットフォームは、従来オープンソースモデルとプロプライエタリモデルの両方にみられた特徴を兼ね備えています。
組織は、OSSの伝統的な特徴であるコードの透明性、コミュニティ主導のイノベーション、セキュリティ、相互運用性、そしてベンダーロックインからの解放といったメリットを享受できます。同時に、従来のベンダーが提供する商用サポート、管理されたインフラストラクチャ、コンプライアンス・フレームワーク、ガバナンスも利用できます。
組織がこの融合の恩恵を受けるためには、調達担当者は評価基準を見直す必要があります。プラットフォームがオープンソースかプロプライエタリかという点にこだわるのではなく、調達チームは次のような点を問うべきです。このプラットフォームは、当社のセキュリティおよびコンプライアンス要件を満たしているか?サポート体制と説明責任は信頼できるか?移行についてはどうだろうか?
これらの基準に照らして評価すると、オープンな評価プラットフォームは、透明性、柔軟性、そして長期的な運用管理を重視して設計されているため、多くの場合、組織の優先事項と密接に合致しています。
今こそ、前提を見直す時だ
調達に関する意思決定は、過去の時代からの時代遅れの想定ではなく、今日のオープンソース・プラットフォームの実際の運用状況を反映すべきです。現代のエンタープライズ向けオープンソース・ソリューションは、規制の厳しい公共部門の環境において、セキュリティ、スケーラビリティ、コンプライアンス、およびサポートの要件を満たすまでに成熟しています。
したがって、オープンソースを無条件に排除する従来の調達枠組みは、組織を保護するどころか、その可能性を制限しているに過ぎない。より優れたガバナンス、低いTCO、そしてより高い制御性を提供し得るプラットフォームを排除することで、調達担当者は限られたリソースの効果を最大化する機会を逃しているのだ。
オープンソース・プラットフォームについてさらに詳しく知りたい方は、TAOブログの以下の役立つリソースをご覧ください:
よくある質問
オープンソースソフトウェアは、政府や公共部門の環境で使用しても安全でしょうか?
その通りです。オープンソースは、世界中の政府インフラにおいて広く活用されています。CISAのような機関はオープンソースの導入を積極的に支援しており、エンタープライズ向けオープンソース・プラットフォームは、プロプライエタリな代替製品と同等のコンプライアンス認証、セキュリティ監査、ガバナンス体制を備えています。さらに、オープンソースソフトウェアはオープンソース・コミュニティによって継続的に検証されており、その防御力が強化されています。
オープンソースソフトウェアはどのようにサポートされているのでしょうか?
多くのオープンソース評価プラットフォームは、体系的なサポート契約、明確なSLA、マネージドホスティング、専任のアカウント管理などを含む、サブスクリプション型のエンタープライズソリューションを提供する民間企業によって支援されています。
長期的に見れば、オープンソースソフトウェアはプロプライエタリなソフトウェアよりもコストが安いのでしょうか?
通常はそうです。オープンソースを採用することで、継続的なライセンス料が不要になり、ベンダーロックインも軽減されるため、組織は長期的なコストをより適切に管理できるようになります。サポート、インフラ、柔軟性などを含めた総所有コスト(TCO)を考慮すると、オープンソースの方がコストパフォーマンスに優れている傾向があります。